导语:黑客盗取个人资料和隐私的技术和手段真实叫人防不胜防,近日来自纽卡斯尔大学的一组安全研究人员又发现了VISA卡的系统漏洞,而破解这个漏洞仅需6秒。
黑客盗取个人资料和隐私的技术和手段真实叫人防不胜防,近日来自纽卡斯尔大学的一组安全研究人员又发现了VISA卡的系统漏洞,而破解这个漏洞仅需6秒。这种破解的方法被称为“分布式猜测攻击”,简单来说,就是绕过防止网上诈骗的安全模式,猜算出Visa银行卡及信用卡的卡号、到期日期、卡背三位数字的安全密码等。
具体过程是这样的:黑客同时系统地向数百个网站发放不同组合的Visa卡用户信息到数以百计的网站内(可以在每个网站上试10到20次),然后通过几秒的筛选过程,便核证到正确的信用卡号码、到期日期等资料,方法简单有效,是不是很可怕?
只需6秒即可盗取你的VISA
整个过程只需6秒,而这种入侵手法,只要有一部连接了互联网的手提电脑便可办到。
2016年11月,英国的乐购银行被黑客攻击,造成9000个存款账户被盗,共计250万英镑。据研究人员推测,黑客使用的就是这个方法。
纽卡斯尔大学计算科学学院博士生Mohammed Ali解释说:
这种攻击利用了VISA系统自身并不太严重的两个弱点,但是一起使用就会对整个支付系统造成严重的风险。首先,目前的在线支付系统没有检测到来自不同网站的多个无效付款请求。这允许对每个卡片的用户信息进行无限猜测,在每个网站上允许尝试的次数通常为10或20次。
其次,不同的网站要求的VISA卡数据字段也不同,这主要是用以验证在线购买。但这意味着黑客很容易把这些信息完整的构建起来。也就是说,黑客可以一次收集一个字段的卡信息,使商家不可能检测到欺诈活动。无限的猜测,结合付款数据字段的变化使黑客可以很容易地猜测到VISA卡的详细信息。
研究者透露,银行的安全系统并不能够检测出黑客在网站内用多次无效尝试而取得VISA卡的资料。
但是Visa信用卡公司却表示,这个研究结果并没有考虑到该公司付款系统中的多层防伪系统,每一层系统都需要符合正确的资料。公司如果发现有付款异常情况出现时,会即时通知卡主。对客户而言,如果是由于这个漏洞让他们的信用卡被人盗用,他们将承担全部的损失。
研究人员强调,这个漏洞只适用于VISA卡,对于万事达卡来说,该方法不适用,因为万事达卡安全网(MasterCard Safety Net)是集中式的。万事达卡安全网在全球通用,提供独立于发卡行或交易处理商系统的外部防御层,通过选择性的线上授权控制,并根据多项标准阻止非法或可疑交易。